前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇云安全體系范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

云安全體系范文第1篇

摘要：文章在研究分析云計算安全風(fēng)險和安全技術(shù)體系架構(gòu)的基礎(chǔ)上，結(jié)合移動互聯(lián)網(wǎng)的特點，設(shè)計了一個多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口的移動互聯(lián)網(wǎng)通用云計算安全技術(shù)體系架構(gòu)。該架構(gòu)可實現(xiàn)不同等級的差異化云安全服務(wù)，其中跨層的云安全管理平臺可對整個系統(tǒng)的運(yùn)維安全情況進(jìn)行跨安全域和跨安全級別的監(jiān)控。

關(guān)鍵詞：移動互聯(lián)網(wǎng)；云計算；安全體系架構(gòu)

Abstract: In this paper, we emphasize the necessity of designing a secure cloud computing architecture for mobile Internet. We analyze cloud computing security risks and secure architectures and propose a general secure cloud computing architecture that takes into account the characteristics of mobile Internet. This architecture has a multihierarchy, multilevel, elastic, cross-platform, unified user interface that can provide cloud services with different levels of security. The cross-layer cloud security management platform can be used to monitor the whole system and maintain different security domains and levels.

Key words: mobile internet; cloud computing; secure architecture

由于云計算特有的優(yōu)點和巨大的商業(yè)前景，移動互聯(lián)網(wǎng)領(lǐng)域的許多企業(yè)都已提供或準(zhǔn)備提供和自身產(chǎn)業(yè)相結(jié)合的各種云計算服務(wù)。云計算引入移動互聯(lián)網(wǎng)，會使移動互聯(lián)網(wǎng)的體系發(fā)生變化，并將帶來許多新的安全問題。為了解決云計算模式下的移動互聯(lián)網(wǎng)安全問題，必須系統(tǒng)地研究其安全風(fēng)險，構(gòu)建云計算安全技術(shù)體系。

在研究分析云計算安全風(fēng)險和安全技術(shù)體系架構(gòu)的基礎(chǔ)上，文章結(jié)合移動互聯(lián)網(wǎng)技術(shù)的接入方式多樣化、企業(yè)運(yùn)營方式多樣化和用戶安全需求多樣化的特點，根據(jù)安全即服務(wù)(SeaaS)的思想綜合設(shè)計一個多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口的，基于移動互聯(lián)網(wǎng)的通用云計算安全技術(shù)體系架構(gòu)。

1 移動互聯(lián)網(wǎng)環(huán)境下的

云計算工作

在2011年1月美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)對云計算的定義的草案中[1]，明確指出支持各種標(biāo)準(zhǔn)的接入手段是云計算的基本特征之一，并將移動互聯(lián)網(wǎng)納入云計算技術(shù)的架構(gòu)之下。云計算與移動互聯(lián)網(wǎng)結(jié)合后，除了移動互聯(lián)網(wǎng)本身具有的安全問題外，由于云計算的虛擬化、多租戶、動態(tài)性、開放性與復(fù)雜性等特點，也給移動互聯(lián)網(wǎng)引入了一系列新的安全問題，如何分析和抵抗這些新的安全威脅近幾年已成為產(chǎn)業(yè)界和學(xué)術(shù)界焦點問題。

2008年7月，美國知名市場研究公司Gartner的一份為《云計算安全風(fēng)險評估》[2]的研究報告認(rèn)為云計算服務(wù)存在著七大潛在安全風(fēng)險，即特權(quán)用戶的接入、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持和長期生存性。2010年3月云安全聯(lián)盟的研究報告《云計算主要安全威脅》[3]指出云計算服務(wù)的主要威脅主要包括：云計算服務(wù)的濫用和惡意使用、不安全的接口和應(yīng)用程序編程接口(APIs)、惡意的內(nèi)部攻擊者、共享技術(shù)的弱點、數(shù)據(jù)丟失與泄露和賬號與服務(wù)劫持等。微軟公司的《Windows Azure安全筆記》[4]從審計與日志、認(rèn)證、授權(quán)、部署管理、通信、加密、異常管理、輸入與數(shù)據(jù)驗證和敏感數(shù)據(jù)這9個方面分別論述了云計算服務(wù)的主要安全威脅。加州大學(xué)伯克利分校的研究人員在文獻(xiàn)[5]中認(rèn)為云計算中安全方面的威脅主要有：可用性以及業(yè)務(wù)連續(xù)性、數(shù)據(jù)鎖定、數(shù)據(jù)的機(jī)密性和相關(guān)審計、大規(guī)模分布式系統(tǒng)的漏洞和相關(guān)性能的不可預(yù)知性等等。

在文獻(xiàn)[6-8]中指出云計算中最重要的安全風(fēng)險主要有：違反服務(wù)等級協(xié)議，云服務(wù)商提供足夠風(fēng)險評估的能力，隱私數(shù)據(jù)的保護(hù)，虛擬化有關(guān)的風(fēng)險，合約風(fēng)險等。目前，云計算安全問題已得到越來越多的關(guān)注。著名的信息安全國際會議RSA2010將云計算安全列為焦點問題，通信學(xué)會理事會(CCS)從2009年起專門設(shè)置了一個關(guān)于云計算安全的研討會。許多企業(yè)組織、研究團(tuán)體及標(biāo)準(zhǔn)化組織都已啟動了相關(guān)研究，安全廠商也已在研究和開發(fā)各類安全云計算產(chǎn)品[9]。

云計算服務(wù)模式下的移動互聯(lián)網(wǎng)是一種復(fù)雜的、面臨各種安全威脅的系統(tǒng)，因此必須研究和設(shè)計移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)來抵抗和防御這些安全威脅，云計算安全體系結(jié)構(gòu)是其研究基礎(chǔ)和依據(jù)。許多研究人員和來自移動互聯(lián)網(wǎng)相關(guān)領(lǐng)域的企業(yè)對如何設(shè)計和開發(fā)云計算安全技術(shù)體系架構(gòu)均展開了相關(guān)研究。

微軟云計算平臺Windows Azure是微軟于2008年在微軟開發(fā)者大會上的全新的云計算平臺，它基于平臺即服務(wù)(PaaS)的思想，向開發(fā)人員提供了一個在線的基于Windows系列產(chǎn)品的開發(fā)、儲存和服務(wù)代管等服務(wù)的環(huán)境。微軟公司的《Windows Azure安全筆記》[4]從改進(jìn)Web應(yīng)用安全的角度出發(fā)提出了一個基于應(yīng)用安全、網(wǎng)絡(luò)安全和主機(jī)安全概念化安全區(qū)域的云計算安全架構(gòu)。其中應(yīng)用安全關(guān)注應(yīng)用審計與日志、認(rèn)證、授權(quán)、應(yīng)用部署管理、加密、異常管理、參數(shù)配置、敏感數(shù)據(jù)、會話管理和驗證等問題；網(wǎng)絡(luò)安全保障路由器、防火墻和交換機(jī)等的安全；主機(jī)安全所需要關(guān)注的相關(guān)問題則包括補(bǔ)丁和更新、服務(wù)、協(xié)議、記賬、文件與目錄、共享、端口、注冊登記和審計與日志等。

Bell實驗室的研究人員在文獻(xiàn)[10]中提出一種支持資源無縫集成至企業(yè)內(nèi)部網(wǎng)的云計算安全體系架構(gòu)VSITE，在保持資源的隔離性和安全性的同時允許云服務(wù)提供商拓展資源為多個企業(yè)提供服務(wù)。云計算服務(wù)商提供的資源對企業(yè)來說就像是內(nèi)部資源，VSITE通過使用VPN、為不同的企業(yè)分配不同的VLAN以及運(yùn)用MAC地址對企業(yè)進(jìn)行身份編碼等技術(shù)手段來達(dá)到這個目標(biāo)。VSITE體系架構(gòu)由云服務(wù)中心、目錄服務(wù)器、云數(shù)據(jù)中心以及監(jiān)控中心等相關(guān)的實體組成，其監(jiān)控中心設(shè)計了安全機(jī)制以防止企業(yè)與企業(yè)之間的相互攻擊。VSITE具有可擴(kuò)充性安全性以及高效性。

亞馬遜彈性計算云(Amazon EC2)是一個Web服務(wù)，它提供可調(diào)整的云計算能力。文獻(xiàn)[11]中指出Amazon EC2使用了一個多級的安全體系架構(gòu)包括主機(jī)的操作系統(tǒng)、操作系統(tǒng)的虛擬實例/客戶操作系統(tǒng)、防火墻和簽名的API調(diào)用等層次，目標(biāo)是保護(hù)云端的數(shù)據(jù)不被未授權(quán)的系統(tǒng)和用戶攔截，使得Amazon EC2實例盡可能安全而又不會犧牲客戶按需配置的彈性。

從服務(wù)模型的角度，云安全聯(lián)盟(CSA)提出了基于3種基本云服務(wù)的層次性及其依賴關(guān)系的安全參考模型[6]，并實現(xiàn)了從云服務(wù)模型到安全控制模型的映射。該模型的重要特點是供應(yīng)商所在的等級越低，云服務(wù)用戶所要承擔(dān)的安全能力和管理職責(zé)就越多。

從安全協(xié)同的角度，Jericho Forum從數(shù)據(jù)的物理位置、云相關(guān)技術(shù)和服務(wù)的所有關(guān)系狀態(tài)、應(yīng)用資源和服務(wù)時的邊界狀態(tài)、云服務(wù)的運(yùn)行和管理者4個影響安全協(xié)同的維度上分類16種可能的云計算形態(tài)[12]。不同的云計算形態(tài)具有不同的協(xié)同性、靈活性及其安全風(fēng)險特征。云服務(wù)用戶則需要根據(jù)自身的不同業(yè)務(wù)和安全協(xié)同需求選擇最為合適的相關(guān)云計算形態(tài)。

上述云安全體系結(jié)構(gòu)雖然考慮了云計算平臺中主機(jī)系統(tǒng)層、網(wǎng)絡(luò)層以及Web 應(yīng)用層等各層次所存在的安全威脅，形成一種通用框架，但這種云安全體系架構(gòu)沒有結(jié)合移動互聯(lián)網(wǎng)環(huán)境來研究云計算安全體系構(gòu)建及相關(guān)技術(shù)。

2 移動互聯(lián)網(wǎng)環(huán)境下的

通用云計算安全技術(shù)

體系架構(gòu)

2.1 設(shè)計目標(biāo)

移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)的設(shè)計目標(biāo)有以下6個方面：

?確保移動互聯(lián)網(wǎng)下的不同用戶的數(shù)據(jù)安全和隱私保護(hù)

?確保云計算平臺虛擬化運(yùn)行環(huán)境的安全

?依據(jù)不同的安全需求，提供定制化的安全服務(wù)

?對運(yùn)行態(tài)的云計算平臺進(jìn)行風(fēng)險評估和安全監(jiān)管

?確保云計算基礎(chǔ)設(shè)施安全、構(gòu)建可信的云服務(wù)

?保障用戶私有數(shù)據(jù)的完整性和機(jī)密性的基礎(chǔ)

2.2 安全體系架構(gòu)設(shè)計

結(jié)合上述設(shè)計目標(biāo)，考慮移動互聯(lián)網(wǎng)接入方式、企業(yè)運(yùn)營方式和用戶安全需求的多樣性，文章設(shè)計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)（如圖1所示），它具有多層次、多級別、彈性、跨平臺和統(tǒng)一用戶接口等特點。

與云計算架構(gòu)中的軟件即服務(wù)(SaaS)、PaaS和基礎(chǔ)設(shè)施即服務(wù)(IaaS) 3個層次相應(yīng)，文章首先設(shè)計了云安全應(yīng)用服務(wù)資源群，包括隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全服務(wù)等云安全應(yīng)用服務(wù)。

針對云計算虛擬化的特點文章還設(shè)計了云安全基礎(chǔ)服務(wù)資源群包括虛擬機(jī)安全隔離、虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移和虛擬機(jī)安全鏡像等云安全基礎(chǔ)服務(wù)，運(yùn)用虛擬技術(shù)跨越了不同系統(tǒng)平臺（如不同的操作系統(tǒng)）。同時移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中也包含云安全基礎(chǔ)設(shè)施。由于用戶安全需求方面存在著差異，云平臺應(yīng)具備提供不同安全等級的云基礎(chǔ)設(shè)施服務(wù)的能力。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)中的云安全基礎(chǔ)設(shè)施的建設(shè)則可以參考移動通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)中云安全基礎(chǔ)設(shè)施已有的相關(guān)建設(shè)經(jīng)驗。

移動互聯(lián)網(wǎng)環(huán)境下的云計算安全技術(shù)體系架構(gòu)還包含一個統(tǒng)一的云安全管理平臺，該平臺包含用戶管理、密鑰管理、授權(quán)認(rèn)證、防火墻、反病毒、安全日志、預(yù)警機(jī)制和審計管理等子系統(tǒng)。云安全管理平臺縱貫云安全應(yīng)用服務(wù)、云安全平臺服務(wù)和云安全基礎(chǔ)設(shè)施服務(wù)所有層次，對包含不同安全域和具有多個安全級別的整個系統(tǒng)的運(yùn)維安全情況進(jìn)行了跨安全域、跨安全級別的一系列綜合管理。

體系架構(gòu)考慮了移動互聯(lián)網(wǎng)環(huán)境下云用戶的各種接入方式如2G/3G/4G、Wi-Fi和WiMax等，具有統(tǒng)一的云安全應(yīng)用服務(wù)接口，并提供手機(jī)多媒體服務(wù)、手機(jī)電子郵件、手機(jī)支付、網(wǎng)頁瀏覽和移動搜索等服務(wù)，同時還可以提供隱私數(shù)據(jù)保護(hù)、密文數(shù)據(jù)查詢、數(shù)據(jù)完整性驗證、安全事件預(yù)警和內(nèi)容安全等用戶可以直接定制的安全服務(wù)。

同時，體系架構(gòu)還考慮了整個系統(tǒng)參照云安全標(biāo)準(zhǔn)及測評體系的合規(guī)性檢查。云服務(wù)商提供的應(yīng)用軟件在部署前必須由第三方可信測評機(jī)構(gòu)系統(tǒng)地測試和評估，以確定其在移動互聯(lián)網(wǎng)云環(huán)境下的安全風(fēng)險并設(shè)立其信任等級，云應(yīng)用服務(wù)提供商不可自行設(shè)定服務(wù)的信任等級，云用戶就可能預(yù)先避免因定制未經(jīng)第三方可信測評機(jī)構(gòu)評估的安全云應(yīng)用服務(wù)而帶來的損失。云應(yīng)用服務(wù)安全等級的測試和評估也給云服務(wù)提供商帶來準(zhǔn)入規(guī)范，迫使云服務(wù)提供商提高云服務(wù)的服務(wù)質(zhì)量以及安全意識。

2.3 關(guān)鍵技術(shù)

對用戶而言，多用戶私有資源的遠(yuǎn)程集中式管理與計算環(huán)境的開放性之間構(gòu)成了尖銳的矛盾，主要表現(xiàn)為：用戶資源的私有性和機(jī)密性要求其應(yīng)用環(huán)境相對固定和穩(wěn)定，而計算環(huán)境的開放性則會使私有數(shù)據(jù)面對來自多方的安全威脅?？梢哉f，云服務(wù)提供商與用戶之間的信任問題是云計算能否推廣的關(guān)鍵，而數(shù)據(jù)的安全和隱私保護(hù)是云計算安全中極其重要的問題。解決該問題的關(guān)鍵技術(shù)涉及支持密文存儲的密文查詢、數(shù)據(jù)完整性驗證、多租戶環(huán)境下的隱私保護(hù)方法等。

云計算平臺要統(tǒng)一調(diào)度、部署計算資源，實施硬件資源和虛擬資源的安全管理和訪問控制，因此，確保虛擬化運(yùn)行環(huán)境的安全是云計算安全的關(guān)鍵。在此安全體系之下，結(jié)合虛擬化技術(shù)，平臺必須提供虛擬機(jī)安全監(jiān)控、虛擬機(jī)安全遷移、虛擬機(jī)安全隔離以及虛擬機(jī)安全鏡像等核心基礎(chǔ)服務(wù)。各種服務(wù)模式的虛擬機(jī)都存在隔離問題引起的安全風(fēng)險，這包括：內(nèi)存的越界訪問，不同安全域的虛擬機(jī)控制和管理，虛擬機(jī)之間的協(xié)同工作的權(quán)限控制等。如果云計算平臺無法實現(xiàn)不同（也可能相同）云用戶租用的不同虛擬機(jī)之間的有效隔離，那么云服務(wù)商則會無法說服云用戶相信自己提供的服務(wù)是非常安全的。

用戶定制的各種云服務(wù)由虛擬機(jī)中運(yùn)行相關(guān)軟件來實現(xiàn)，因此存在虛擬機(jī)中運(yùn)行的相關(guān)軟件是否按用戶需求運(yùn)行的風(fēng)險問題，例如運(yùn)行的環(huán)境的安全級別是否符合需求和運(yùn)行的流程是否異常等；虛擬機(jī)運(yùn)行的預(yù)警機(jī)制與安全審計問題包括安全策略管理、系統(tǒng)日志管理和審計策略管理等。

云計算模式下的移動互聯(lián)網(wǎng)是一種多源、異構(gòu)服務(wù)共存的環(huán)境。與此同時，依據(jù)多租戶的不同安全需求，滿足不同等級的差異化云安全服務(wù)應(yīng)以訪問控制為手段，進(jìn)行安全服務(wù)定制以及安全自適應(yīng)。

為了支撐移動互聯(lián)網(wǎng)環(huán)境下云計算的安全準(zhǔn)入，云計算安全體系同樣需要針對運(yùn)行態(tài)云計算平臺的風(fēng)險評估方法、安全測評方法以及支持第三方的安全審計等。

移動互聯(lián)網(wǎng)上的云計算安全監(jiān)管體系一方面負(fù)責(zé)對移動互聯(lián)網(wǎng)的內(nèi)容安全監(jiān)管和針對基于云計算的安全攻擊的預(yù)警與防護(hù)；另一方面還負(fù)責(zé)對云服務(wù)提供商對云服務(wù)安全性的相關(guān)保障措施和執(zhí)行情況進(jìn)行審計。

3 結(jié)束語

在滿足移動互聯(lián)網(wǎng)多種接入方式、多種企業(yè)運(yùn)營方式和不同參與者不同的安全需求的基礎(chǔ)上，文章結(jié)合云計算技術(shù)，根據(jù)SeaaS的思想，設(shè)計了一個移動互聯(lián)網(wǎng)環(huán)境下的通用云計算安全技術(shù)體系架構(gòu)。整個體系架構(gòu)提供給用戶云服務(wù)的安全級別可以適用用戶需求的差異化，還可以無縫融合不同的操作系統(tǒng)和異構(gòu)的網(wǎng)絡(luò)體系，給不同接入方式終端用戶帶來統(tǒng)一的操作模式。

4 參考文獻(xiàn)

[1] MELL P, GRANCE T. The NIST Fefinition of Cloud Computing(draft) [R]. NIST Special Publication 800-145.Gaithersbung, MD,USA:NIST,2011.

[2] BRODKIN J. Gartner: Seven Cloud-Computing Security Risks [EB/OL].(2008-07-02).

folk.ntnu.no/oztarman/tdt60/cloud%20computing/3%20Cloud_Computing_Security_Risk.pdf, july, 2008

[3] Top Threats to Cloud Computing V1.0 [R].San Francisco, CA, USA: Cloud Security Alliance,2010.

[4] MEIER J D. Windows Azure Security Notes [R]. Microsoft,2011.

[5] ARMBRUST M, FOX A, GRIFFITH R, et al. A View of Cloud Computing[J].Communications of the ACM, 2010,53(4): 50-58.

[6] Security Guidance for Critical Areas of Focus in Cloud Computing V2.1[R].San Francisco, CA, USA: Cloud Security Alliance, 2009.

[7] ENISA Cloud Computing Risk Assessment[R]. European Network and Information Security Agency, 2009.

[8] MOTAHARI-NEZHAD H, STEPHENSON B, SINGHAL S. Outsourcing Business to Cloud Computing Services: Opportunities and Challenges [R].HPL-2009-23. Palo Alto ,CA,USA:HP Labs, 2009.

[9] 馮登國,張敏,張妍,等. 云計算安全研究[J].軟件學(xué)報,2011,22(1): 71-83.

[10] LI L E, WOO T. VSITE: A Scalable and Secure Architecture for Seamless L2 Enterprise Extension in the Cloud[C], Proceedings of the 6th IEEE Workshop on Secure Network Protocols (NPSec’10), Oct 5, 2010, Kyoto, Japan. Piscataway, NJ, USA: IEEE,2010: 31-36.

[11] Amazon Web services: Overview of Security Processes[R]. Seattle, WA, USA: Amazon,2010.

[12] Forum j. Cloud Cube Model：Selecting Cloud Formations for Secure Collaboration[EB/OL].(2009-04-30). http：//省略/Jericho/ cloud-cube-model-v1.0.pdf

收稿日期：2012-02-12

作者簡介

劉建偉，北京航空航天大學(xué)電子信息工程學(xué)院副院長、教授、博士生導(dǎo)師，中國密碼學(xué)會理事，中國電子學(xué)會高級會員；研究方向為無線通信網(wǎng)絡(luò)、密碼學(xué)、信息安全、通信網(wǎng)絡(luò)安全、信道編碼與調(diào)制技術(shù)等；100余篇，出版專著4部。

云安全體系范文第2篇

關(guān)鍵詞：云計算；計算機(jī)網(wǎng)絡(luò)安全；防范策略

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-7712 （2013） 10-0116-01

一、云計算

（一）云計算的概念

云計算（CloudComputing）是近年來發(fā)展的一種新的計算形態(tài)。它是網(wǎng)格計算（GridComputing）、分布式計算（DistributedComputing）、并行計算（ParallelComputing）、效用計算（UtilityComputing）、網(wǎng)絡(luò)存儲（NetworkStorageTechnologies）、虛擬化（Virtualization）、負(fù)載均衡（LoadBalance）等傳統(tǒng)計算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。云計算的核心思想是將大量用網(wǎng)絡(luò)連接的計算資源統(tǒng)一管理和調(diào)度，構(gòu)成一個計算資源池向用戶按需服務(wù)。提供資源的網(wǎng)絡(luò)被稱為“云”?！霸啤敝械馁Y源在使用者看來是可以無限擴(kuò)展的，并且可以隨時獲取，按需使用，隨時擴(kuò)展，按使用付費(fèi)。

（二）云計算的工作原理

云計算的思想就是把力量聯(lián)合起來，然后給其中的每一個成員使用。云計算的基本原理就是通過使計算分布在大量的分布式計算機(jī)上，而非本地計算機(jī)或遠(yuǎn)程服務(wù)器中。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問計算機(jī)和存儲系統(tǒng)。這也意味著計算能力就像我們現(xiàn)在使用水和電一樣，取用方便，費(fèi)用低廉。

二、云計算背景下計算機(jī)網(wǎng)絡(luò)安全存在的問題

在技術(shù)方面，云計算存儲了大量的數(shù)據(jù)，一旦在云計算中心放生故障，將導(dǎo)致不可估量的損失。云計算在網(wǎng)絡(luò)的建設(shè)中擁有巨大的優(yōu)勢，但是存在的問題也很多。其中最突出的就是網(wǎng)絡(luò)的虛假地址和虛假標(biāo)識問題。

其次，在計算機(jī)的網(wǎng)絡(luò)里，我們的防范措施很單一，網(wǎng)絡(luò)上的黑客和病毒隨時都有可能攻擊我們的云計算中心。在云計算中心里存儲的大數(shù)據(jù)信息對這些攻擊具有強(qiáng)大的吸引力。因此，云計算有許多重要的安全問題，例如在沒有真正明確保密性、完整性和可用性責(zé)任的情況下把服務(wù)委托給第三方等。

此外，互聯(lián)網(wǎng)技術(shù)在中國發(fā)展太快、變化太多，以致于讓我們對網(wǎng)絡(luò)安全的認(rèn)識跟不上，缺少防范意識，雖然近幾年有了一定的提高，但是還不能滿足網(wǎng)絡(luò)安全的需求。我國對網(wǎng)絡(luò)安全的立法還并不全面，存在著漏洞，而且監(jiān)管的嚴(yán)密性也不夠。目前我國的立法不全，缺乏對網(wǎng)絡(luò)安全的制裁手段和懲罰。

三、云計算背景下計算機(jī)網(wǎng)絡(luò)安全的防范策略

（一）提高防范意識，明確網(wǎng)絡(luò)安全發(fā)展目標(biāo)

一方面，加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)認(rèn)證身份的確認(rèn)和識別，明確授權(quán)主體，從而提高對網(wǎng)絡(luò)安全在身份上的確認(rèn)保障，避免因第三方侵入網(wǎng)絡(luò)安全系統(tǒng)；另一方面，保證網(wǎng)絡(luò)信息的完整性和機(jī)密性、一致性，加強(qiáng)對信息傳播的監(jiān)控操作，防止機(jī)密信息流失造成不必要的影響，禁止非授權(quán)用戶對信息數(shù)據(jù)的整改，嚴(yán)格把關(guān)信息安全的操控。

（二）提高網(wǎng)絡(luò)安全壁壘，強(qiáng)化應(yīng)對網(wǎng)絡(luò)威脅的能力

1.系統(tǒng)安全分析

系統(tǒng)安全分析是把系統(tǒng)中復(fù)雜事物分成相對簡單的組成部分，并找出各組成部分之間的內(nèi)部聯(lián)系，查明危害的過程。系統(tǒng)安全分析的目的是為了在整個系統(tǒng)生命周期內(nèi)，徹底除去或是控制危害。

2.采用加密技術(shù)

要提高網(wǎng)絡(luò)安全，加密技術(shù)是最常用的安全保密手段，利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼（加密）傳送，到達(dá)目的地后再用相同或不同的手段還原（解密）。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通訊安全。

3.采用認(rèn)證和數(shù)字簽名技術(shù)

身份認(rèn)證是指用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。數(shù)字證書是一個擔(dān)保個人、計算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。認(rèn)證的主要目的確定信息的真實性、完整性和不可否認(rèn)性。所謂認(rèn)證系統(tǒng)是為了使接收者或第三者能夠識別和確認(rèn)消息的完整性的密碼系統(tǒng)。

4.運(yùn)用服務(wù)器

服務(wù)器只允許因特網(wǎng)的主機(jī)訪問其本身，并有選擇地將某些允許的訪問傳輸給內(nèi)部網(wǎng)，這是利用服務(wù)器軟件的功能實現(xiàn)的。采用防火墻技術(shù)，易于實現(xiàn)內(nèi)部網(wǎng)的管理，限制訪問地址。可以保護(hù)局域網(wǎng)的安全，起到防火墻的作用：對于使用服務(wù)器的局域網(wǎng)來說，在外部看來只有服務(wù)器是可見的，其他局域網(wǎng)的用戶對外是不可見的，服務(wù)器為局域網(wǎng)的安全起到了屏障的作用。

5.使用過濾器

Vontu、Websense和Vericept等公司提供一種系統(tǒng)，目的在于監(jiān)視哪些數(shù)據(jù)離開了你的網(wǎng)絡(luò)，從而自動阻止敏感數(shù)據(jù)。比方說，身份證號碼具有獨特的數(shù)位排列方式。還可以對這類系統(tǒng)進(jìn)行配置，以便一家公司里面的不同用戶在導(dǎo)出數(shù)據(jù)方面享有不同程度的自由。

參考文獻(xiàn)

[1]劉穎，劉景.計算機(jī)網(wǎng)絡(luò)安全問題及措施[J].科技資訊，2008，6.

[2]姚遠(yuǎn)耀，張予民.云計算在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用[J].科技廣場，2009，7.

[3]王洪鎮(zhèn)，謝立華.關(guān)于云計算及其安全問題的綜述[J].現(xiàn)代計算機(jī)（專業(yè)版），2013，6.

[4]梁杰文，佟得天.云計算下的信息安全綜述[J].信息與電腦（理論版），2012，12.

云安全體系范文第3篇

一、相關(guān)理論知識概述

（一）云會計的概念

程平和何雪峰將云會計定義為“構(gòu)建于互聯(lián)網(wǎng)上， 并向企業(yè)提供會計核算、 會計管理和會計決策服務(wù)的虛擬會計信息系統(tǒng)”①。對于云會計的理解可以分別從企業(yè)用戶和云服務(wù)供應(yīng)商的角度來進(jìn)行簡述：云服務(wù)供應(yīng)商應(yīng)該做到計算機(jī)軟件、硬件、互聯(lián)網(wǎng)服務(wù)的云計算和企業(yè)的會計信息系統(tǒng)的選擇維護(hù)工作，只需要關(guān)注所提供的軟硬件設(shè)備以及相關(guān)的會計信息系統(tǒng)是否合適，能否有效的完成企業(yè)對于系統(tǒng)的一些會計信息化的需求。對于企業(yè)來說，它僅僅關(guān)注所提供的服務(wù)是否滿足本企業(yè)的個性化需求，所要求的價格是否與所提供的服務(wù)相匹配，不關(guān)心提供服務(wù)的供應(yīng)商本身的情況。因此，云會計更類似于一場企業(yè)和云服務(wù)供應(yīng)商之間的關(guān)于企業(yè)會計服務(wù)外包的交易。

（二）云會計的應(yīng)用優(yōu)勢

（1）大大降低企業(yè)會計信息化建設(shè)成本。相較于傳統(tǒng)的會計模式而言，云會計更突出的優(yōu)勢是將企業(yè)的會計工作外包出去，這樣企業(yè)就有更多的時間和精力專注于本企業(yè)的會計管理以及決策的制定上面。

（2）應(yīng)用十分便捷。隨著互聯(lián)網(wǎng)時代的不斷發(fā)展，云會計也將更加契合現(xiàn)代人的工作方式，它不再使會計人員局限于辦公室辦公，正如現(xiàn)在許多云會計服務(wù)商提出的“Anytime、Anywhere、Anyway”的3A服務(wù)理念，這些都說明云會計的應(yīng)用使得會計工作方式變得更加的便利②。

（3）幫助決策科學(xué)性。由于云平臺是一個信息共享的地方，所以可以將企業(yè)所有的資產(chǎn)信息、交易信息、財務(wù)數(shù)據(jù)等一切歷史數(shù)據(jù)進(jìn)行整合分析從而對企業(yè)未來的發(fā)展進(jìn)行預(yù)測并幫助企業(yè)做出科學(xué)合理的決策，提高會計信息的使用價值。

二、云會計信息安全問題

（一）會計信息的存儲及備份安全問題

在云會計環(huán)境下企業(yè)所有的會計信息都儲存在“云端”的數(shù)據(jù)資源庫以便可以及時地獲取并處理會計信息。但由于云計算所使用的儲存方式是虛擬的，所以會計信息使用者對于信息儲存的具置是不清楚的，而且也不知道服務(wù)器供應(yīng)商所提供的儲存管理技術(shù)是否完善，是否在提供服務(wù)時私自保留了一些特權(quán)等。

此外，在進(jìn)行會計數(shù)據(jù)儲存時很重要的一個步驟就是對會計數(shù)據(jù)進(jìn)行備份，但由于備份數(shù)據(jù)一般都儲存在磁盤或者優(yōu)盤中，而數(shù)據(jù)在備份的過程中肉眼是無法看到整個過程是如何進(jìn)行的，所以只要操作稍有不當(dāng)或者疏忽，就會出現(xiàn)儲存數(shù)據(jù)備份不全或者數(shù)據(jù)無法讀取的情況。

（二）會計信息的傳輸安全問題

會計信息從企業(yè)到“云端”數(shù)據(jù)庫的傳輸過程中需要經(jīng)過云會計服務(wù)器供應(yīng)商和互聯(lián)網(wǎng)，這一過程如果不嚴(yán)格管理就可能會出現(xiàn)問題。一般會計信息在企業(yè)內(nèi)部傳輸時只需要進(jìn)行簡單地加密算法或者雙方直接進(jìn)行傳輸，但是在傳輸?shù)健霸贫恕睌?shù)據(jù)庫的過程中，會計信息必須要經(jīng)過云服務(wù)供應(yīng)商，所以如果企業(yè)選擇的云服務(wù)供應(yīng)商在數(shù)據(jù)傳輸過程中有意或無意導(dǎo)致信息泄露是企業(yè)一時無法察覺的。此外，由于一般傳輸都是采用互聯(lián)網(wǎng)進(jìn)行的，所以在互聯(lián)網(wǎng)傳輸?shù)倪^程中可能會留下一些痕跡而有意想要獲取信息的人就可以通過這些痕跡跟蹤獲取到企業(yè)的一些有價值的信息。

（三）會計信息的使用安全問題

會計信息對于一個企業(yè)來說基本上都是屬于本企業(yè)的商業(yè)機(jī)密，一般可以有權(quán)獲得這些信息的都是會計相關(guān)人員或者是企業(yè)的領(lǐng)導(dǎo)和管理層，所以一旦這些人員在使用會計信息的過程中不小心出現(xiàn)了泄露和損壞會計信息的行為，企業(yè)將會遭受嚴(yán)重的損失。對于企業(yè)來說，因為在云會計下直接使用和處理會計信息的一般是企業(yè)的相關(guān)財務(wù)人員，所以財務(wù)人員的粗心大意或者是在處理信息過程中隨意的離開電腦旁，這些都可能造成會計信息的泄露。

三、云會計信息安全問題的解決思路

（一）從云技術(shù)本身增強(qiáng)會計信息安全性

云會計的基礎(chǔ)是云計算，但是在目前的大環(huán)境下許多用來保證云技術(shù)安全性的核心技術(shù)還是不夠成熟，所以第一步就要從完善核心云技術(shù)來探討相應(yīng)的解決思路。首先是加強(qiáng)對訪問用戶的身份驗證和管理，要建立起強(qiáng)大的企業(yè)用戶身份的安全識別認(rèn)證和訪問控制機(jī)制。其次，加強(qiáng)企業(yè)對加密密鑰相關(guān)管理技術(shù)的學(xué)習(xí)。這樣一方面減輕了云服務(wù)供應(yīng)商在密鑰管理上的工作量，降低了由此而出現(xiàn)信息泄露等問題；另一方面也保證了企業(yè)的會計信息不被其他無關(guān)人員看到，大大加強(qiáng)了會計信息的安全性。

（二）從企業(yè)人員管理上保證會計信息安全性

2011年蘋果公司的離職員工泄露了公司當(dāng)時新產(chǎn)品信息和銷售計劃，使得蘋果公司虧損了近兩百萬美元。所以，對于企業(yè)內(nèi)部相關(guān)人員信息權(quán)限授予的管理是極其必要的。具體的來說，每個員工都應(yīng)根據(jù)自己的工作內(nèi)容設(shè)有賬號權(quán)限并且只能查看賬號權(quán)限內(nèi)授權(quán)的信息，而且當(dāng)員工因為工作需要變動賬號時必須要經(jīng)過上級領(lǐng)導(dǎo)的審批，這就確保了企業(yè)員工只對其工作范圍內(nèi)的信息具有完全控制權(quán)而無法接觸到工作以外的信息，同時當(dāng)有員工離職時要及時的刪除相關(guān)賬號，確保信息不會被未授權(quán)人員獲取或泄露。

（三）從數(shù)據(jù)管理上確保會計信息安全性

一般而言，企業(yè)核心價值的體現(xiàn)就是企業(yè)重要的會計信息和經(jīng)濟(jì)信息，但是在會計信息傳送至“云端”這一過程中，會計信息的安全性和完整性完全是由云服務(wù)供應(yīng)商控制著，所以企業(yè)要在與云服務(wù)供應(yīng)商簽訂傳輸協(xié)議時強(qiáng)調(diào)對會計信息的完整性進(jìn)行檢查校對，然后在云服務(wù)供應(yīng)商將會計信息傳輸至“云端”之后進(jìn)行會計信息的檢查從而確定在整個傳輸過程中會計信息的真實性和完整性。但是如果企業(yè)無法實現(xiàn)上述的要求，那就需要企業(yè)根據(jù)自身的實際情況來決定哪些部分可以使用云會計來完成。

總之，我們要早日解決云會計下信息安全問題，從而加速實現(xiàn)企業(yè)會計信息化建設(shè)的進(jìn)程。注解：

云安全體系范文第4篇

關(guān)鍵詞:云計算;無線局域網(wǎng);WPA;PSK

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)33-9611-04

Cloud Computing and Research of WPA Security

WANG Jian1, FANG Hong-ying2

(1.College of Computer Science and Technology,Chongqing University of Posts and Telecoms,Chongqing 400065, China; 2.College of Science,Chongqing Jiaotong University,Chongqing 400074, China)

Abstract: The WLAN with wireless channel for the transmission medium widely applied to the domain needing for removable data processing or unable to cabling with physics transmission medium. But its open characteristic causes wiretapping,identity threats, and so on counterfeiting and tampering of information are actually ubiquitous. The IEEE 802.11 proposes a series of safety mechanism to solves these Safety potential, as identification authentication and the data encryption and so on. But along with cloud computation, facing the super-computing platform, computing hundreds of millions of times per second, the encryption protocol in WLAN became frail at present. In this paper based on the WLAN WPA encryption, a detailed analysis of cloud computing to WLAN security challenges will be discussed, finally the experimental data will prove the authenticity and severity of such security threat.

Key words: cloud computing; WLAN; WPA; PSK

無線局域網(wǎng)(Wireless Local Area Network,WLAN)作為有線聯(lián)網(wǎng)方式的補(bǔ)充和延伸,逐漸成為計算機(jī)網(wǎng)絡(luò)中一個至關(guān)重要的組成部分。WLAN以無線信道作傳輸媒介,廣泛適用于需要可移動數(shù)據(jù)處理或無法進(jìn)行物理傳輸介質(zhì)布線的領(lǐng)域。

無線媒介具有開放性特點,但它要求比有線網(wǎng)絡(luò)更嚴(yán)格的安全措施。雖然WLAN規(guī)范的標(biāo)準(zhǔn)化,使無線網(wǎng)絡(luò)技術(shù)變得成熟與完善,但竊聽、身份假冒和信息篡改[1]等威脅卻無處不在。為了解決這些安全隱患,IEEE 802.11協(xié)議提出了一系列安全機(jī)制,來實現(xiàn)身份驗證和數(shù)據(jù)加密。但是隨著云計算的提出,面對每秒數(shù)億次的超級計算平臺,目前WLAN中的加密協(xié)議顯得來力不從心。本文以WLAN中最常用的WPA加密協(xié)議為例,詳細(xì)分析云計算對無線局域網(wǎng)安全帶來的挑戰(zhàn)。

1 云計算

云計算(Cloud Computing)是分布式計算技術(shù)的一種,其最基本的概念,是透過網(wǎng)絡(luò)將龐大的計算處理程序自動分拆成無數(shù)個較小的子程序,再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計算分析之后將處理結(jié)果回傳給用戶。透過這項技術(shù),網(wǎng)絡(luò)服務(wù)提供者可以在數(shù)秒之內(nèi),達(dá)成處理數(shù)以千萬計甚至億計的信息,達(dá)到和“超級計算機(jī)”同樣強(qiáng)大效能的網(wǎng)絡(luò)服務(wù)――維基百科(Wikipedia)。

1.1 云計算的原理

云計算(Cloud Computing)是分布式處理(Distributed Computing)、并行處理(Parallel Computing)和網(wǎng)格計算(Grid Computing)的發(fā)展。其原理是,通過使計算分布在大量的分布式計算機(jī)上,而非本地計算機(jī)或遠(yuǎn)程服務(wù)器中,企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng)相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上,根據(jù)需求訪問計算機(jī)和存儲系統(tǒng)。云計算具有綜合利用網(wǎng)絡(luò)上的軟件和數(shù)據(jù)的能力,把計算資源和存儲資源聯(lián)合起來,供每一個成員使用。

1.2 云計算的特征

云計算[2]是“海量存儲”和“高性能計算服務(wù)”的高度融合。高性能計算服務(wù)(云計算)部署依賴于計算機(jī)集群,也吸收了自主計算和效用計算的特點;海量存儲(Cloud Storage,云存儲)是一種將數(shù)據(jù)保存在虛擬存儲池上的實現(xiàn)方式,數(shù)據(jù)獨立存儲,而非與計算部件共享服務(wù)器上。

從事云計算服務(wù)研究的結(jié)構(gòu)眾多,包括Wikipedia,Google,Microsoft,Garmer和Forrester等,它們依據(jù)各自的利益和不同的研究視角給出了對云計算不同的的定義和理解。但是無論廣義的還是狹義的云計算,均具有如下特征:快速部署資源或獲得服務(wù);按需擴(kuò)展和使用;可以按使用量計費(fèi);通過網(wǎng)絡(luò)提供服務(wù)。

1.3 云計算為安全帶來的好處[3]

1) 數(shù)據(jù)集中存儲:數(shù)據(jù)的集中存儲減少了數(shù)據(jù)泄露的可能性,可靠的安全監(jiān)測提供可靠的實時安全保障,用戶的存儲成本也大大降低。

2) 事件快速反應(yīng):事件的快速反應(yīng)是指云計算縮短了服務(wù)時間,降低了服務(wù)器出錯概率,使服務(wù)更有針對性。

3) 密碼可靠性測試:如果用戶需要使用密碼破解工具定期對密碼強(qiáng)度進(jìn)行測試,那么可以使用云計算減少密碼破解時間,并更能保證密碼強(qiáng)度的可靠性。

4) 無限期日志:在云存儲模式下,如果磁盤空間不足,可以重新分配,并不會影響日志的存儲使用,而且沒有日期限制。完善日志索引機(jī)制提供實時索引功能。

5) 提升安全軟件的性能:在云計算中,出現(xiàn)了越來越多的高性能安全軟件,也可以在某種程度上說,云帶來了安全產(chǎn)品的整體提升。

6) 可靠的構(gòu)造:通過預(yù)控制機(jī)制減少漏洞,同時更容易檢測到安全狀況,有助于構(gòu)造出更安全的工作環(huán)境。

7) 安全性測試:降低安全測試成本,節(jié)省昂貴的安全性測試費(fèi)用。通過云計算還可以在潛在成本規(guī)模經(jīng)濟(jì)下開發(fā)產(chǎn)品。

2 云計算對無線網(wǎng)絡(luò)安全的挑戰(zhàn)[4]

無線局域網(wǎng)(WLAN)是一種利用無線技術(shù)、實現(xiàn)局域網(wǎng)功能的技術(shù)。相對于有線通信技術(shù)而言,無線傳輸媒體的開放性導(dǎo)致監(jiān)聽變得無處不在。因此,IEEE 802.11-1999標(biāo)準(zhǔn)中提出了一系列技術(shù),希望從認(rèn)證、加密和數(shù)據(jù)的完整性三方面為數(shù)據(jù)傳輸提供安全保障。

2.1 WEP協(xié)議

WEP(Wired Equivalent Privacy,有線等效加密)[5]安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。RC4加密算法是RSA Security的Ron Rivest在1987年設(shè)計的密鑰長度可變的流加密算法簇。該算法具有很高級別的非線性,其速度可以達(dá)到DES加密的10倍。

WEP協(xié)議的安全性取決于密鑰及其不被發(fā)現(xiàn)的能力。研究表明RC4算法中如果用相同的初始化向量和密鑰加密兩條消息,那么流密碼容易受到攻擊:因為如果對相同密鑰流加密的密文進(jìn)行XOR運(yùn)算,那么密鑰流將互相抵消而保留兩條明文的XOR結(jié)果。攻擊者也可能查找某一已知明文,并可以用它對兩條明文的XOR結(jié)果再作XOR運(yùn)算來計算另一條明文的內(nèi)容。歸結(jié)WEP協(xié)議的弱點如表1所示,其今天的地位只能說是說有勝于無了。

2.2 WPA協(xié)議

WPA(Wi-Fi Protected Access)是另一種保護(hù)無線局域網(wǎng)安全的技術(shù),它有針對性的解決了WEP中的幾個嚴(yán)重的弱點[6]。

從表2可以看出WPA在安全方面進(jìn)行了如下革新:身份驗證機(jī)制杜絕了偽鏈接攻擊;增強(qiáng)至48Bits的IV加上Sequence Counter機(jī)制防止IV 重復(fù);MIC信息編碼完整性機(jī)制,使得要偽造一個合法數(shù)據(jù)包變得異常的困難;Per-Packet Key加密機(jī)制,讓每個包都使用不同的key加密;Dynamic key management,動態(tài)key管理機(jī)制,為密碼的安全提供保障。

目前使用的WPA有普通WPA 和WPA2(802.11i)兩個標(biāo)準(zhǔn)。其區(qū)別在于數(shù)據(jù)加密算法(TKIP、AES)和數(shù)據(jù)完整性校驗算法(MIC、CCMP)的不同,如表3所示。

在WPA/WPA2中和密碼相關(guān)的信息有加密數(shù)據(jù)包和身份認(rèn)證數(shù)據(jù)。通過分析TKIP和AES可以得出,由于無法知道明文,要通過捕獲足夠的加密數(shù)據(jù)包從而找到可以攻擊的信息很難實現(xiàn)。那么破解的突破口就在于WPA/WPA2的身份認(rèn)證過程。

WPA/WPA2分為兩種認(rèn)證方式:802.1x (基于端口的網(wǎng)絡(luò)接入控制)+ EAP(擴(kuò)展認(rèn)證協(xié)議)模式,是一種工業(yè)級的身份認(rèn)證體系,需要架設(shè)專用的認(rèn)證服務(wù)器(如Radius);Pre-shared Key (PSK,預(yù)共用密鑰)模式,是設(shè)計給負(fù)擔(dān)不起 802.1x 驗證服務(wù)器的成本和復(fù)雜度的家庭和小型公司網(wǎng)絡(luò)用的。針對前者的攻擊代價太高,目前主要的破解行為都集中在PSK模式上。

2.2.1 預(yù)共用密鑰(Pre-shared Key,PSK)

PSK的認(rèn)證過程包含STA(Station,客戶端)與AP(access point)間的四次握手(Four-Way Handshake),如圖1所示。

2.4.1 WPA-PSK 初始化工作

使用 SSID 和passphares使用以下算法產(chǎn)生PSK 在WPA-PSK 中PMK=PSK

PSK=PMK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096)

1) 第一次握手

AP:廣播SSID、AP_MAC到STA。

STA:使用接收到的SSID,AP_MAC和passphares計算出PSK=pdkdf2_SHA1(passphrase,SSID,SSID length,4096);且PMK=PSK。

2) 第二次握手

STA:發(fā)送一個隨機(jī)數(shù)SNonce,STA_MAC到AP。

AP端:接收到SNonce,STA_MAC后產(chǎn)生一個隨機(jī)數(shù)Anonce;然后用PMK,AP_MAC,STA_MAC,SNonce,ANonce 產(chǎn)生PTK=SHA1_PRF(PMK, Len(PMK), "Pairwise key expansion",MIN(AP_MAC,STA_MAC) ||Max(AP_MAC,STA_MAC) || Min(Anonce,SNonce) || Max(Anonce,SNonce));提取這個PTK 前16Bytes組成一個MIC KEY。

3) 第三次握手

AP:發(fā)送上面產(chǎn)生的Anonce到STA。

STA:用接收到ANonce 和以前產(chǎn)生PMK,SNonce,AP_MAC,STA_MAC用同樣的算法產(chǎn)生PTK;提取這個PTK 前16Bytes組成一個MIC KEY;使用以下算法產(chǎn)生MIC = HMAC_MD5(MIC Key,16,802.1x data),其中802.1x data 是802.1x 數(shù)據(jù)幀。

4) 第四次握手

STA:用上面那個準(zhǔn)備好的802.1x 數(shù)據(jù)幀在最后填充上MIC值和兩個字節(jié)的0(十六進(jìn)制),然后發(fā)送這個數(shù)據(jù)幀到AP。

AP:收到這個數(shù)據(jù)幀后提取這個MIC,并把這個數(shù)據(jù)幀的MIC部分都填上0(十六進(jìn)制),這時用這個802.1x data 數(shù)據(jù)幀,和用上面AP產(chǎn)生的MIC KEY 使用同樣的算法得出MIC’;如果MIC’等于STA發(fā)送過來的MIC。那么第四次握手成功,若不等說明則AP 和STA的密鑰不相同,或STATION 發(fā)過來的數(shù)據(jù)幀受到過中間人攻擊,原數(shù)據(jù)被篡改過。握手失敗了。

2.2.2 PSK的破解

雖然PSK安全體系是十分完善的,但自始至終是一個靠密鑰保護(hù)的系統(tǒng),密鑰成為了系統(tǒng)的關(guān)鍵點,也是威脅安全的失效點。

圖1中很清楚的表明,在四次握手中主要傳遞的有如下數(shù)據(jù):SSID,AP_MAC,STA_MAC,SNonce,ANonce,802.1x data,MIC。前面6 個元素很清楚,不跟密鑰有聯(lián)系,只有最后一個MIC和密碼有所聯(lián)系。MIC是通過上面六個信息元素和密碼通過三個主要的算法計算出來的。理論上說只要找到這三個算法的逆反算法就可以根據(jù)上面的7個信息元素把密碼計算出來了呢。但是事與愿違的是pdkdf2_SHA1,SHA1_PRF,HMAC_MD5這三個函數(shù)都是HASH(散列) 函數(shù)。眾所周知,HASH函數(shù)幾乎都不存在反函數(shù),因此唯一可行的就是建立字典(Hash Tables)進(jìn)行攻擊。

1) 字典法

字典法,又叫窮舉法、遍歷法。首先把可能的密鑰羅列起來組成一個密碼字典。然后采用待破解系統(tǒng)相同的加密過程(加密算法和步驟)依次計算出每一個密鑰的密文值與現(xiàn)有密文值進(jìn)行比較,嘗試猜解密碼;也可以依次將字典中的每一個密鑰導(dǎo)入待破解系統(tǒng),在線驗證密碼。

PSK密鑰規(guī)范規(guī)定:可以采取HEX和ASCII模式做密鑰,最多64Bytes,符號包括字母和數(shù)字。那么可是使用的字符個數(shù)為95個,密碼空間為9564。這超乎想象的密碼空間是目前任何計算機(jī)系統(tǒng)都無法勝任的。

2) 弱口令字典[7]

弱口令是一個相對的概念,指的是密鑰空間中很有希望破解的那部分。由此構(gòu)成的字典被稱為弱口令字典?？紤]到現(xiàn)實生活中人們設(shè)置密鑰的習(xí)慣,常見的弱口令字典包括:社會工程學(xué)的弱口令;有一定聯(lián)系性規(guī)律性弱口令;暴露過的強(qiáng)口令。

3) 內(nèi)存-時間平衡(Time-Memory Trade-Offs)法[8]

單純地使用字典,采用和目標(biāo)同等算法破解,其速度其實是非常緩慢的,就效率而言根本不能滿足實戰(zhàn)需要。如果能夠?qū)崿F(xiàn)直接建立出一個數(shù)據(jù)文件,里面事先記錄了采用和目標(biāo)采用同樣算法計算后生成的Hash值,在需要破解的時候直接調(diào)用這樣的文件進(jìn)行比對,破解效率就可以大幅度地,這一方法還可以依托大型數(shù)據(jù)庫進(jìn)行文本匹配,從而更加速了解密的進(jìn)程。由于這種方法意味著使用大量內(nèi)存的能夠減少破解密碼所需要的時間,由此被稱作“內(nèi)存-時間平衡法”。而事先構(gòu)造的Hash數(shù)據(jù)文件在安全界被稱之為Table表(文件)。

2.2.3 云計算構(gòu)建PSK Hash Tables

在“內(nèi)存-時間平衡”法和弱口令字典的基礎(chǔ)之上,可以開始構(gòu)建跟PSK解密相關(guān)的Hash表了。所采用的方法即前文所述的Four-Way Handshake,涉及到的函數(shù)包括pdkdf2_SHA1、SHA1_PRF、HMAC_MD5。目的是將弱口令字典中的每一個密鑰(MK)通過pdkdf2_SHA1計算出PMK(即PSK),再通過SHA1_PRF函數(shù)計算該P(yáng)MK對應(yīng)的PTK,最終將原始的MK和生成的PTK對存入PSK Hash Tables備用。

云計算中軟件即服務(wù)(SaaS)的收費(fèi)服務(wù)理念在分布式構(gòu)建PSK Hash Tables時非常有效。全球每一個用戶既可以在PSK云計算平臺中將自己計算機(jī)空閑資源共享出來,通過分布式計算為PSK Hash Tables添磚加瓦,從而按計算量獲取報酬;又可以享受在擁有被攻擊對象PTK的情況下,高速查詢原始密鑰的服務(wù),一切只需要付費(fèi)即可。

以由1000臺計算機(jī)構(gòu)成的PSK云計算平臺為例,計算PSK Hash Tables的時間減少為原來的1/1000。通過該云計算平臺,可以將以前的100~300 key/s的單機(jī)破解速率,提升到30000~100000 key/s,破解效率提升了近300~1000倍。綜合所述,這個破解PSK密鑰的速度提高了106倍。

2.2.4 現(xiàn)狀

國外高級安全機(jī)構(gòu)(如churchofwifi、shmoo等),也已經(jīng)建立了高達(dá)500G的詳盡WPA/WPA2攻擊Hash Tables庫,并將一些基本完善的PSK Hash Tables公開出售,這使得普通電腦在5分鐘內(nèi)破解14位長足夠復(fù)雜的PSK帳戶密碼成為現(xiàn)實。

4 結(jié)論

該文研討了云計算對無線網(wǎng)絡(luò)安全帶來的挑戰(zhàn),充分展現(xiàn)了“云計算”+“內(nèi)存-時間平衡法”的高效性。

安全研究是把雙刃劍,既可能對系統(tǒng)造成破壞,使用得當(dāng)也可以預(yù)測和避免網(wǎng)絡(luò)威脅。安全領(lǐng)域中,云計算可用于:加密算法強(qiáng)度評估;無限期日志;可靠性測試; 安全性測試等方面。

參考文獻(xiàn):

[1] 張豐翼,劉曉寒,馬文平,王新梅.無線局域網(wǎng)安全的關(guān)鍵問題[J].信息安全與通信保密,2004(5):34-37.

[2] 顧理琴.淺談云計算(Cloud Computing)--未來網(wǎng)絡(luò)趨勢技術(shù)[J].電腦知識與技術(shù),2008(S2):11-12.

[3] 編者.云計算為安全帶來的七大利好[J].計算機(jī)與網(wǎng)絡(luò),2008(17):37-38.

[4] 謝四江,馮雁.淺析云計算與信息安全[J].北京電子科技學(xué)院學(xué)報,2008(4):1-3.

[5] Matthew Gast.802.11?R Wireless Networks The Definitive Guide [M].2nd ed.Sebastopol,CA:O'Reilly Media,Inc,2005.

[6] 孫宏,楊義先.無線局域網(wǎng)協(xié)議802.11安全性分析[J].電子學(xué)報,2003(7):1098-1100.

云安全體系范文第5篇

關(guān)鍵詞：高速公路；營運(yùn)安全管理；特殊天氣；應(yīng)急處置機(jī)制

引言

高速公路是人們實際生活出行以及社會發(fā)展的主要交通要道，對于社會經(jīng)濟(jì)發(fā)展具有一定價值，不過在告訴公路建設(shè)期間，因為工期長、建設(shè)環(huán)境相對比較復(fù)雜，加上其他藝術(shù)產(chǎn)生的影響，一旦在施工期間安全管理不過關(guān)，那么就很容易出現(xiàn)各種安全事故和問題，會對整個施工企業(yè)造成不可忽視的損失和影響。因此在強(qiáng)化高速公路施工整體安全管理同時，還要不斷提升整體建筑質(zhì)量，對于施工人員自身安全具有一定價值，現(xiàn)在高速公路安全管理受到人們廣泛關(guān)注，不過在實際運(yùn)營期間依舊存在很多問題需要改進(jìn)。

1高速公路施營運(yùn)安全管理出現(xiàn)的各種問題

1.1安全管理意識薄弱

現(xiàn)在，高速公路已經(jīng)成為我國主要交通要道，新時代下對高度公路提出了全新需求，不過，很多高速公路在實際施工期間缺少安全管理意識和思維，將主要精力和時間全部投放在經(jīng)濟(jì)利益上，從而對于安全責(zé)任以及職責(zé)管理不過重視，導(dǎo)致高速公路安全管理上出現(xiàn)各種問題和不足。再加上人們?nèi)鄙俑咚俟钒踩?zé)任意識，最終使得高速公路管理上出現(xiàn)各種不足。政府對于安全管理資金投入不足，日常生活中缺少安全管理培訓(xùn)，從而導(dǎo)致高速公路運(yùn)營期間出現(xiàn)各種問題。

1.2安全設(shè)備不足

在高速公路施工進(jìn)行中，企業(yè)對于安全設(shè)備的提供不足，一般都是集中在電子圖形層次上，不過因為警示音響設(shè)備在整個過程中比較匱乏，從而導(dǎo)致高速公路建筑經(jīng)常出現(xiàn)各種問題。因此基于實際情況上具體分析，很多施工企業(yè)在工作期間采用的安全設(shè)置都是應(yīng)用在普通公路中的，和高速公路實際需求之間存在很大差異性，從而不能滿足現(xiàn)代化高速發(fā)展需求[1]。

1.3人員專業(yè)能力不足

高速公路屬于勞動密集型行業(yè)，很多企業(yè)為節(jié)省更多資金投入，進(jìn)而在施工期間使用較少金額，雇傭幾個專業(yè)技術(shù)人才進(jìn)行管理，，不過企業(yè)項目則缺少專業(yè)人士管理，交由分包企業(yè)進(jìn)行施工。施工兌取一般都是臨時拼湊和組建的人員，參與施工的人員數(shù)量通常都是一些農(nóng)民工，數(shù)值比較少，并未進(jìn)行專業(yè)化培訓(xùn)工作，進(jìn)入高速公路現(xiàn)場后臨時學(xué)習(xí)，自我安全意識不足，自救能力比較薄弱。加上農(nóng)民工工作是施工主要任務(wù)，在一線工作期間必定存在很多不足和問題，將會給高速公路施工帶來不確定性危險系數(shù)[2]。

1.4安全管理機(jī)制并未有效落實

素有行業(yè)的第一任務(wù)都是保證施工整個過程的安全性，高速公路屬于一項高危行業(yè)，需要配合完整安全機(jī)制作為支撐。制定完整機(jī)制后，需要有效落實和執(zhí)行，只有這樣才能夠使得機(jī)制在整個過程中發(fā)揮自身的價值。以現(xiàn)在實際情況具體分析，很多施工企業(yè)并未成立安全管理機(jī)制，制定的企業(yè)也并未結(jié)合實際情況有效落實，從而使得安全管理機(jī)制成為一種不必要的擺設(shè)[3]。并未，很多施工企業(yè)在制定安全管理機(jī)制期間，沒有有效結(jié)合實際情況進(jìn)行。

2提升高速公路營運(yùn)施工安全管理的有效對策

2.1提升安全投入，增強(qiáng)安全管理績效

為保證所有車輛都能夠在高速公路上行駛，在營運(yùn)期間一定要強(qiáng)化對高速公路護(hù)欄、隔離設(shè)施以及視線誘導(dǎo)等進(jìn)行嚴(yán)格控制，在高速公路上設(shè)置安全標(biāo)線以及交通標(biāo)志，強(qiáng)化安全管理，保證整個高速公路完好率。在長坡、轉(zhuǎn)彎以及事故多發(fā)地點還要添加減速標(biāo)志，以及在周圍設(shè)置安全警示等，提示駕駛?cè)藛T行駛期間的安全性[4]。還要在高速公路周圍建立便于冬季時期乘客防滑自救儲料池，對高速公路上橋頭跳車等進(jìn)行伸縮縫的合理設(shè)置和分析，還要為行駛?cè)藛T提供照明，通過上述工作不斷提升高速公路安全管理效果。引起政府的高速重視，從而可以在修建高速公路中投入更多資金，增強(qiáng)整個路線的安全管理績效。

2.2高度重視特殊天氣，特別路段強(qiáng)化安全管理

雨污風(fēng)暴等不佳天氣會對高速公路行駛帶來影響，在此種條件下車輛行駛極易出現(xiàn)安全事故，因此，在整個過程中一定要強(qiáng)化信息互通以及報告工作，經(jīng)營企業(yè)一定要通過合作形式進(jìn)行配合，對高速公路安全營運(yùn)進(jìn)行共同監(jiān)督和防范[5]。在實際交通運(yùn)行中一旦出現(xiàn)惡劣天氣，那么就要第一時間為警察提供現(xiàn)場資料和信息，進(jìn)而是對現(xiàn)場進(jìn)行多層次監(jiān)控工作，采取多種措施結(jié)合共同監(jiān)督和管理，以就近分流以及路線形式狀態(tài)等對信息進(jìn)行共享，對高速公路上車輛進(jìn)行及時疏導(dǎo)，避免因為天氣不佳造成車輛阻塞現(xiàn)象。在天氣不佳狀態(tài)下對重點以及危險路段進(jìn)行全面排查和分析。還要結(jié)合天氣對于整個道路的影響進(jìn)行分析，使用間斷放行形式對行駛車輛進(jìn)行控制，對車速進(jìn)行限制，避免高速公路上出現(xiàn)大型客車以及危險化學(xué)品車輛。進(jìn)而需要多方共同合作，積極配合對高速公路進(jìn)行管理，不同人員一定要踴躍承擔(dān)自身基本責(zé)任，層層聯(lián)動，逐層遞進(jìn)，調(diào)度有序，對事故進(jìn)行及時處理，從而避免告訴公路現(xiàn)場出現(xiàn)人員安全問題以及財產(chǎn)損失問題。

2.3完善安全管理機(jī)制，構(gòu)建應(yīng)急處置對策

①要結(jié)合高速公路應(yīng)急預(yù)案進(jìn)行全面管理和處理工作，對高速公路上出現(xiàn)的危險源以及重點工作進(jìn)行合理預(yù)測和分析，還要制定現(xiàn)場預(yù)案處理工作，在預(yù)案機(jī)制制定期間一定要由相關(guān)專家參與其中，使得制定的預(yù)案更加規(guī)范和正確；②制定結(jié)束后，需要依據(jù)預(yù)案進(jìn)行演練和預(yù)測，結(jié)合高速公路實際情況指定演練機(jī)制，使得多方可以更好的合作和配合，快速相應(yīng)，對現(xiàn)場進(jìn)行救援，進(jìn)而做好應(yīng)急處理工作，在平時工作期間也要做好管理維護(hù)工作，在整個工作期間，還需要一些應(yīng)急救援基本技術(shù)作為支撐和保證[6]；③注重提升管理人員的應(yīng)急處理能力，強(qiáng)化培訓(xùn)工作，從根本上提升人員工作應(yīng)急處理意識以及能力，避免高速公路現(xiàn)場出現(xiàn)各種安全事故和問題；④對高速公路聯(lián)動機(jī)制進(jìn)行完善，對各種不佳自然災(zāi)害以及安全事故進(jìn)行處理，使得各方之間可以協(xié)調(diào)工作，進(jìn)而可以最大限度發(fā)揮聯(lián)動機(jī)制的工作價值，對現(xiàn)場實際情況進(jìn)行共同應(yīng)對和防范。

3結(jié)束語

總而言之，由于交通網(wǎng)絡(luò)系統(tǒng)的快速發(fā)展，高速公路是其中最主要部分，在數(shù)量以及質(zhì)量上都提出了更高要求，使其從原有基礎(chǔ)上升一個層次。高速公路在實際施工期間一定要進(jìn)行安全管理工作，保證整體實際質(zhì)量同時，使得高速公路進(jìn)行順利進(jìn)行下去，進(jìn)而可以最大限度發(fā)揮高速公路的價值，因此在對高速公路進(jìn)行安全管理工作，對于我國交通事業(yè)發(fā)展具有推動作用，最大限度滿足人們營運(yùn)需求。

參考文獻(xiàn)

[1]王祝欣.芻議高速公路施工安全管理[J].建筑知識，2017（16）：107-108.

[2]高秉蔚.芻議高速公路運(yùn)營成本控制問題[J].科技展望，2017（16）.

[3]趙云揚(yáng).芻議高速公路隧道施工技術(shù)與控制要點[J].環(huán)球市場，2017（22）.